金蝶EAS信息安全方案.docx

1、金蝶EAS信息安全方案 金蝶EAS信息安全方案金蝶软件（中国）有限公司EAS产品事业部1. 引言 32. 前言 33. 信息安全组织和制度保障 44. EAS安全策略 54.1. J2EE的安全性 54.2. EAS安全介绍 55. EAS资金管理系统安全方案 95.1. EAS与PKI体系整合的安全架构图： 95.2. EAS资金系统银企互联安全原理图： 105.3. 基于证书的双身份认证 115.4. USB Key身份认证 115.5. 数据加密传输 125.6. 业务单据的数字签名 125.7. 二次身份认证 135.8. EAS资金成功案例介绍 146. EAS网络安全 146.1.

2、 防火墙 146.2. VPN技术 156.3. VLAN 177. 电脑病毒防护 178. EAS数据安全 188.1. 磁盘存储系统 188.2. 数据备份 199. EAS服务器安全 209.1. 服务器系统冗余 209.1.1. IBM P系列服务器群集技术(HACMP) 209.1.2. HP MC/ServiceGuard 集群方案 219.2. EAS服务器群集 21集群模型特点 22集群部署建议 229.3. Oracle RAC 2310. 其它注意事项 2411. 附件 25信息安全体系结构 251.引言在信息安全技术中有一个著名的“木桶理论”其核心思想是：一个木桶能装多少

3、水，不是取决于木桶中最长的木板，而是木桶中最短的木板决定着一个木桶能够装多少水。把一个公司的信息安全看作是一个木桶的话，那么这个公司信息安全级别高低不是看其安全防范最好的地方，而是看其安全防范最薄弱的地方。不论公司信息安全体系的关键位置的安全防范有多严密，只要体系中有一个安全漏洞，那么整个信息安全体系的安全可以说是脆弱的。一个信息系统的安全弱点就是它防护最弱的那部分，不管其他部分是如何的强壮，一旦此弱点被利用，就会给系统带来灾难。要保护系统的安全，需要全方位考虑，系统管理员要经常检测系统的薄弱环节。2.前言对一个企业来说，信息和其它商业资产一样有价值。信息安全就是保护信息免受来自各方面的威胁，

4、是一个企业持续经营策略和管理的重要环节。随着公司治理、内部控制的加强，以及美国颁布萨班斯法案和上海深圳证券交易所出台上市公司内部控制指引，越来越多的企业开始重视公司的信息安全。作为国内领先的ERP软件，EAS正在为越来越多的大中型企业所使用。金蝶EAS(Enterprise Application Suite)，是金蝶国际软件集团推出的新一代企业应用套件。秉承40万家用户的最佳应用实践，采用最新的ERP管理思想和最先进的平台化技术架构，是K/3产品的重大平台升级和管理升级，涵盖集团管理、财务管理、人力资源管理、客户关系管理、供应链管理、供应商关系管理、协同平台等管理领域。为大中型企业提供最适合

5、中国企业管理特质的个性化企业管理及电子商务应用解决方案。如何保障EAS系统的信息安全，是EAS用户十分关注的问题。国际标准化组织（ISO）已于2000年颁布ISO/IEC 17799，是信息安全管理实施细则（Code of Practice for Information Security Management）。其05年最新版本涉及信息安全管理的各个方面： 安全策略（Security Policy） 信息安全的组织结构（Organization of information security）资产管理（Asset Management）人力资源安全（Human resources secur

6、ity） 物理和环境安全（Physical and environmental security）通信和操作管理（Communication and operations management）访问控制（Access control） 系统采购、开发和维护（Information systems acquisition, development and maintenance）信息安全事件管理（Information security incident management） 业务连续性管理（Business continuity management） 符合性（Compliance）通过层次

7、结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节，还有39个主要安全类和133个具体控制措施（最佳实践），供负责信息安全系统开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。另外国际标准化组织于2005年10月颁布ISO27001，ISO27001是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，在于建立适合企业需要的信息

8、安全管理体系（ISMS）。 综上述，信息安全有一套严格的体系和规范，必须从制度、管理、技术等多维度来保障公司信息安全。EAS系统是公司众多信息系统的一个重要应用系统，需要公司的信息安全体系提供保障，而不是单纯依靠EAS内部的一些安全手段，只有这样才能保证EAS系统的安全。由于信息安全涉及面太广，下面仅就与EAS紧密相关的成熟的信息安全技术展开讨论，为EAS用户提供参考。3.信息安全组织和制度保障根据ISO/IEC 17799规定，公司应当制定信息安全制度为公司信息安全提供管理方向和指南。同时成立信息安全管理部门，推行信息安全制度，对信息安全权责进行分配，并协调公司内部信息安全的实施。如有必要，

9、在公司内部设立特别信息安全顾问并指定相应人选。同时，要设立外部安全顾问，以便跟踪行业走向，监视安全标准和评估手段，并在发生安全事故时建立恰当的联络渠道。4.EAS安全策略4.1.J2EE的安全性J2EE(Java 2 Enterprise Edition)提供了一个企业级的计算模型和运行环境用于开发和部署多层体系结构的应用，J2EE提供一系列安全算法、PKI体系、安全通讯、认证和存取控制等，可以通过各种安全策略的设置来开放足够使用的执行权限。它通过提供企业计算环境所必需的各种服务，使得部署在J2EE平台上的多层应用，可以实现高可用性、安全性、可扩展性和可靠性。它的优越性在于：计算平台支持Jav

10、a语言，使得基于J2EE标准开发的应用可以跨平台地移植；Java语言非常安全、严格，这使开发者可以编写出非常可靠的代码；J2EE提供了企业计算中需要的所有服务，且更加易用；J2EE中多数标准定义了接口，例如JNDI（Java Naming and Directory Interface）、JDBC、Java Mail等，因此可以和许多厂商的产品配合，容易得到广泛的支持；J2EE树立了一个广泛而通用的标准，大大简化了应用开发和移植过程。J2EE中有一套严格的安全概念和安全体系架构，对信息安全的提供灵活而健壮框架。4.2.EAS安全介绍金蝶EAS严格遵循J2EE规范，采用J2EE标准的三层体系架构

11、，分别为客户端、应用服务器、数据库服务器三层架构，客户端只能访问应用服务器，采用防火墙、数据加密、权限管理、身份认证等多重安全机制，最大限度地保证EAS的系统安全。EAS的安全架构：EAS安全性包括：完善的权限体系，EAS权限模型包括三个基本要素（组织、功能权限、用户），支持功能权限、数据权限（行级和字段级）；具有灵活的授权机制，支持角色授权、用户授权、功能权限的可转授、功能权限的禁止权（禁止权优先于任何权限）、支持特殊数据权限（主管权限、创建者权限、离散权限 ）、支持行级权限、字段级权限等。支持多种认证：EAS除了提供传统认证外，还支持LDAP认证、AD活动目录认证、 ActivCard动态

12、密码认证、USB Key认证、指纹认证等。密码策略：根据不同敏感程度的用户，设置不同级别的密码策略，使安全策略应用到了用户级别，EAS可以设置的密码控制项包括：密码的最小长度、密码复杂度（必须包含英文字母和数字）、密码有效天数、首次登录必须修改密码等。账户锁定策略： 账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定。账户锁定策略包括：锁定阀值，即允许使用错误密码的最大登录次数，可按不同用户设置不同阀值，超过阀值则锁定账户；锁定期，使其在锁定的时间内，就算是正确的密码也不能登录。一旦该账户被锁定后，即使是合法用户也就无法使

13、用了。只有管理员才可以重新启用该账户，这就造成了许多不便，提供锁定期功能，以便锁定期过后可自动解锁；用户在线监控策略：EAS系统提供在线用户的实时监控功能，对所有的在线用户账户（身份）、客户端的IP和机器名、在线时间、操作功能等信息进行实时监控，对非法用户在线进行破坏或者在线用户进行违规操作时，可以立即进行阻止。对非法用户在线进行破坏或者在线用户进行违规操作时，可以立即进行阻止。对在线用户进行的危险操作，管理员也可以发送提示信息或者警告信息，达到预防危险发生的目的。 重复登录提醒，用户可选择踢出对方：EAS系统支持一个账户多点登录，但是会给出提示。如果是独享的账户，则用户可以选择立即将对方的登

14、录账户踢出系统，并立即修改密码，以减少账户被盗用带来的后果。闲置账户自动踢出：EAS系统中，提供自动踢出闲置账户的功能，系统管理员可以根据系统的应用情况设置自动踢出闲置账户的闲置时间阈值，一旦某个账户的闲置时间超过了阈值，那么系统会自动将该账户踢出系统，该账户必须重新登录才能继续进行操作。数据加密：ORMRPC是金蝶自主产权的，基于TCP/IP协议上的远程对象请求协议，可以与第三方具有公信力的权威认证相结合，提供数据加密传输；其数据加密传输的实现原理与SSL相类似。结合PKI/CA的ORMRPC数据加密/解密传输过程说明：首先，用户基于证书进行双身份登录认证，若认证通过，且服务端要求进行数据加

15、密传输时，将在服务端产生会话密钥，并用用户个人公钥进行加密，返回给客户端；其次，客户端获取到加密后的会话密钥后，将使用个人私钥进行解密然后，在本次用户会话周期内，以后每次的数据传输，都将使用该会话密钥进行数据的加密/解密；以上数据加密/解密过程是与PKI/CA体系相结合的，是类似SSL的一种实现，但与EAS结合的更紧密，且降低了SSL的部署复杂度，是能够灵活满足不同客户的安全需要的。上机日志：EAS用户上机日志能详细记录用户的操作时间、功能点、IP等信息，为系统管理和系统安全提供分析数据。5.EAS资金管理系统安全方案金蝶EAS资金管理系统通过资金计划、统一结算控制、资金分析、融资管理、银企直

16、联等方式，实现内部资金结算、统收统支、内部网上结算，并实现与商业银行接口，实现资金集中管理，要求资金管理系统要有很高的安全性。金蝶EAS针对资金系统的高安全性，提出了全方位的安全解决方案，详细方案如下：5.1.EAS与PKI体系整合的安全架构图EAS系统提供各种安全策略来保证系统达到不同的安全级别，除了普通的密码策略、部署策略、License策略、权限与用户监控等策略，EAS提供了如下图所示的绑定标准安全方案PKI（Public Key Infrastructure）体系的安全方案：EAS系统可以集成USBKEY方式进行登录，同时对于关键业务可以采用USBKEY进行用户身份认证，对于调用银企的

17、数据进行签名验证处理，通过签名能够保证数据放篡改，从而保证重要数据的安全性。5.2.EAS资金系统银企互联安全原理图5.3.基于证书的双身份认证对于资金等安全性要求较高的系统，为提高身份认证的安全级别，需要支持基于第三方CA证书的用户身份认证；为保护证书和私钥，应采取USB KEY存储证书和私钥；为了防止内部安全漏洞，需要执行双管理员机制：EAS安全管理员和EAS超级管理员必须由不同人员担当；USB KEY的管理（包括用户绑定等等）应交由EAS安全管理员处理，EAS超级管理员则无权处理；EAS用户的创建和权限分配可由EAS超级管理员管理，但EAS安全管理员不允许处理此项业务；为了防止内部安全漏

18、洞，需要结合双安全管理员机制，在证书身份认证的基础上，增加另一维度的身份认证，如：EAS传统命名身份认证;5.4.USB Key身份认证USB Key身份认证介绍：基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的硬件身份认证技术，很好地解决了用户个人私钥的安全可靠存储，并提供USB接口与现今的电脑通用。它的内部结构不简单，它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书。 利用USB Key内置的密码算法实现对用户身份的认证。USB Key是一个二次硬件加密功能，在经过系统的软加密验证通过后，还需经过一次第三方的硬件加密，主要用于部分客户关心

19、的关键功能。EAS目前支持USB Key在银企互联中使用。USB Key的优点：是基于EAS系统外的第三方硬件，可以由用户自由选择具体的供应商，对于系统而言，多了个第三方的保证。是一种方便、安全、可靠的身份认证技术，甚至很多银行都使用这种身份认证技术。USB Key又叫智能密码钥匙 ，可以绑定具体的操作功能，例如，可配置只对使用银企直联功能时检查用户的Key，使用总帐功能或其他功能时不需要Key，这样，可以减少Key的使用人，大大节约成本。因为使用其他功能不需要Key，也简化了用户的操作流程。使用方便，价格便宜。5.5.数据加密传输ORMRPC是金蝶自主产权的，基于TCP/IP协议上的远程对象

20、请求协议，可以与第三方具有公信力的权威认证相结合，提供数据加密传输；其数据加密传输的实现原理与SSL相类似。结合PKI/CA的ORMRPC数据加密/解密传输过程说明：首先，用户基于证书进行双身份登录认证，若认证通过，且服务端要求进行数据加密传输时，将在服务端产生会话密钥，并用用户个人公钥进行加密，返回给客户端；其次，客户端获取到加密后的会话密钥后，将使用个人私钥进行解密；然后，在本次用户会话周期内，以后每次的数据传输，都将使用该会话密钥进行数据的加密/解密；以上数据加密/解密过程是与PKI/CA体系相结合的，是类似SSL的一种实现，但与EAS结合的更紧密，且降低了SSL的部署复杂度，是能够灵活

21、满足不同客户的安全需要的。5.6.业务单据的数字签名对于资金等敏感数据需要保障其完整性，比如：需要防止直接通过数据库工具进行EAS系统外的修改；而对于用户在EAS系统内的修改，也需要提供不可抵赖的证据；显然这些需求都可通过数字签名来实现。EAS主要业务对象为单据，通过对业务单据进行数字签名，可确保数据的完整性和不可抵赖。后续将进一步提供签名数据的审计功能，以便对存在疑问的数据进行签名审计，通过审计对系统安全进行审查，并尽早发现问题。EAS中业务单据提交银企互联的时候，由于是真正付款出去，对某些字段比如付款账号、收款账号、金额、币别等的安全性要求比较高，从审批到提交银企互联的环节之间，进行了关键

22、字段的防篡改处理，以付款单为例，实现思路如下实现思路如下：付款单审批的时候对要防篡改的字段进行加密处理，得出加密字符串保存到付款单记录加密字段中。付款单提交银企互联的时候对要加密的字段用相同加密算法重新进行加密得到新的加密字符串，与付款单记录加密字段中保存的加密字符串进行比较，如果不相同，则说明被加密的这几个字段中有字段数据被修改过，否则就说明没被篡改。5.7.二次身份认证功能二次身份认证，是通过在功能权限上绑定身份认证方式来实现的，其设置主界面如下图所示：业务功能与二次身份认证方式的绑定管理员对资金关键业务功能可以设置是否进行二次身份认证，然后再设置哪些功能分别使用哪种验证方式，设置好了之后

23、，每个用户在操作这些功能时，系统会自动增加二次认证，如果用户符合二次身份认证设置的条件，那么用户就会没有任何感觉的继续操作功能，如果不符合二次身份认证设置的条件，那么即使该用户有操作权限，也不允许使用该功能。5.8.EAS资金成功案例介绍XX综合性机械制造特大型集团企业使用EAS的安全性需求：基于证书的身份认证；数字签名：保障数据完整性、以及不可抵赖性；数据传输加密：有效防止敏感数据在传输过程中被窃取而泄密；EAS安全性解决方案：所有使用电子结算的成员单位都需要使用财务公司下发的电子密钥及服务证书。每家参与电子结算的成员单位需提交两个证书备案表，即需要两个不同身份的服务证书，一个用于收付单的审

24、批身份认证，一个用于将收付款单发往财务公司时的数字签名。 为保证传送到接口的数据的合规性，所有收付款的审批人在登陆EAS系统时都必须使用证书进行登陆，所有将收付款单发往财务公司的人员在做发送指令时都必须进行数字签名以实现传送数据的不可抵赖性。采用双系统管理员，即系统管理员和安全管理员，系统管理员不能给自己授于业务操作权限，同时在EAS系统设置安全管理员角色，安全管理员只能处理类似USBKey绑定、撤销绑定、发放等日常工作。 6.EAS网络安全6.1.防火墙防火墙的基本功能是能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络

25、环境变得更安全。出于安全考虑，企业必须购置防火墙以保证其数据安全，建议将生产服务器放置在单独区域，与办公网络隔离。EAS客户端通过金蝶自主开发的协议ORM-RPC与应用服务器连接，ORM-RPC可以运行在HTTP或TCP/IP协议之上，ORM-RPC可以使用HTTP 80端口或TCP 11034默认端口，客户也可以自己定义ORM-RPC协议的TCP端口。在防火墙上配置策略需要开放应用服务器的端口和11034端口（或客户自定义端口）。WebSphere默认HTTP端口是9080，Apusic默认的HTTP端口是6888，Weblogic默认的HTTP端口是7001。EAS 防火墙配置图：6.2.

26、VPN技术VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。使用VPN技术，甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道，将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展的企业网络。VPN基本特征：使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。网络架构弹性大无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。可以通过Extr

27、anet连接企业合作伙伴、供应商和主要客户（建立绿色信息通道），以提高客户满意度、降低经营成本。VPN实现方式硬件设备：带VPN功能模块的路由器、防火墙、专用VPN硬件设备等，如Nokia、 Cisco、NetScreen等。软件实现：Windows 2000自带PPTP或L2TP、第三方软件（如CheckPoint、深信服等）。服务提供商（ISP）：中国电信、联通、网通等。目前一些ISP推出了MPLS + VPN，线路质量更有保证，推荐使用。由于南北电信存在互联互通的问题，如果不能统一线路提供商，通常的解决方法是在总部同时申请电信和网通线路，下属机构根据实际情况采用电信或网通线路，如下图：6

28、.3.VLANVLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN不仅有利于网络安全和防止网络风暴，而且可以提高网络运行的效率，解决许多其它问题。7.电脑病毒防护目前流行的电脑病毒破坏力越来越强，不只是破坏感染病毒的电脑，还消耗大量的网络资源，严重时导致关键业务系统瘫痪，所以企业考虑自身信息安全必须安装防病毒软件。企业如何有效防护电脑病毒，建议如

29、下：1、采购企业级杀毒软件，实行中央监管，务必保证接入局域网内的每台电脑都安装防毒软件，并及时更新病毒库。2、必须制定严格的企业防病毒管理措施。3、划分VLAN,可以防止病毒扩散，缩小影响范围。8.EAS数据安全8.1.磁盘存储系统 EAS运行的是企业运营管理的核心关键数据，存储的可靠性要求非常高，因此必须要求服务器的存储系统配置为磁盘阵列方式，不允许使用单块磁盘系统存储EAS数据，而且必须配置实时的后备存储系统，如磁盘备份系统。磁盘阵列已经成为企业信息系统不可缺少的基础组成部分，当前的主流厂商有EMC、IBM、HDS、HP等。RAID是英文RedundantArrayofInexpensiv

30、eDisks的缩写，中文译作廉价冗余磁盘阵列，简称磁盘阵列。简单的说，磁盘阵列是一种把多块独立的硬盘（物理硬盘）按不同方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。在这一组硬盘中，数据按照不同的算法分别存储于每块硬盘上从而达到不同的效果这样就形成了不同的RAID级别（RAIDLEVEL）。按照RAID级别划分，常见的有RAID0，RAID1，RAID3，RAID5，RAID10，RAID50等，以及硬件厂商自己定义的RAID。客户可以根据实际情况选择RAID级别，RAID10和RAID5比较常见，金蝶推荐客户采用RAID10，可以获得较好的磁盘I

31、O性能和可靠性。使用磁盘阵列的好处：提高数据的安全性；提高数据存取的速度，提升EAS性能；提供超大的存储容量。针对EAS而言，并发数低于100时可以采用低价的软件RAID-5技术（如Windows 2000带有RAID-5软件功能，也可以配置性能价格比非常好的内置PCI的阵列卡，连接三块以上的SCSI硬盘，配置成RAID-5模式）；并发数超过100个用户就应该考虑独立的硬件磁盘阵列；超过200个并发用户数规模时，建议采用光纤通道磁盘阵列技术，如果有多台服务器（如集群配置）时，更可以使用光纤通道存储局域网（SAN）技术来实现高性能的共享存储系统。以下是EAS对磁盘阵列的指标最低要求：应用规模IOPS最大带宽磁盘配置并发数小于500至少12万至少335MB/s容量至少500G并发数大于500至少20万至少1500 MB/s容量至少1T 8.2.数据备份一个完整的数据备份和灾难恢复方案，应包括备份硬件，备份软件，备份计划和灾难恢复计划四个部分。备份硬件目前比较流行的解决方法包括硬盘介质存储，光学介质和磁带/磁带机存储技术。硬盘存储费用比较昂贵，光学介质的访问速度慢，且容量较小。通常情况下，